Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

antywirus wykrył rootkita, podaję logi z Hjt i combofix

#41
RE: problem z rotkitem
W okienku zaawansowane:
http://www.otofotki.pl/img7/pokaz.php?id=uk236_e.JPG
Wytnij pierwszą pozycją (tą, w której w rubryce Odziedziczone po stoi wpis <nie odziedziczono>) (usuń i OK)

Następnie przeczytaj uważnie post 37.
Opisane tam czynności trzeba zastosować do gałęzi BITS tutaj:
HKLM\SYSTEM\ControlSet001\Services\BITS
i tutaj:
HKLM\SYSTEM\ControlSet002\Services\BITS

Jak to zrobisz pokaż następujące printscreeny z uprawnień:
HKLM\SYSTEM\CurrentControlSet\Services\BITS ->uprawnienia dla Administrator
HKLM\SYSTEM\ControlSet001\Services\BITS -> uprawnienia dla wszystkich użytkowników z listy "Nazwa grupy lub użytkownika"
HKLM\SYSTEM\ControlSet002\Services\BITS -> uprawnienia dla wszystkich użytkowników z listy "Nazwa grupy lub użytkownika"

Potem ponownie wyeksportuj w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
HKLM\SYSTEM\ControlSet001\Services\BITS
HKLM\SYSTEM\ControlSet002\Services\BITS

(tylko proszę nie wrzucaj ich na megaupload, bo musiałem nos do monitora przykleić, żeby odczytać tamte magiczne literki).

Plik:
c:\qoobox\quarantine\c\windows\system32\setup.ini
wrzuć na jakiś serwer i podaj linka.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#42
RE: problem z rotkitem
uprawnienia:
HKLM\SYSTEM\CurrentControlSet\Services\BITS ->uprawnienia dla Administrator

[Obrazek: vo6574_a.JPG]
HKLM\SYSTEM\ControlSet001\Services\BITS
-> uprawnienia dla użytkownicy:
[Obrazek: oy6395_b.JPG]

-> uprawnienia dla administratorzy:
[Obrazek: bq4617_c.JPG]

-> uprawnienia dla system:
[Obrazek: ha5948_d.JPG]

-> uprawnienia dla twórca-własciciel:
[Obrazek: mi7965_e.JPG]

-> uprawnienia dla użytkownicy zaawansowani:
[Obrazek: wo6598_f.JPG]
HKLM\SYSTEM\ControlSet002\Services\BITS
-> uprawnienia dla administratorzy:
[Obrazek: jo9093_a.JPG]

-> uprawnienia dla system:
[Obrazek: or9005_b.JPG]

-> uprawnienia dla twórca-własciciel:
[Obrazek: pk4705_c.JPG]

-> uprawnienia dla użytkownicy:
[Obrazek: rm7443_d.JPG]

-> uprawnienia dla użytkownicy zaawansowani:
[Obrazek: de4245_e.JPG]

Czy tutaj w ustawieniach zaawansowanych też usunąć pierwszą pozycję (tą, w której w rubryce Odziedziczone po stoi wpis <nie odziedziczono>) ?
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#43
RE: problem z rotkitem
Gałąź:
HKLM\SYSTEM\ControlSet001\Services\BITS
prawoklik na BITS, uprawnienia, zaawansowane i pokaż printscreena (ale tutaj wygląda, że już nic grzebać nie będziemy).

Gałąź:
HKLM\SYSTEM\ControlSet002\Services\BITS
prawoklik na BITS, uprawnienia, zaawansowane.
Jeśli tu na pierwszej pozycji będzie stał wpis jak na obrazku:
http://www.otofotki.pl/img7/pokaz.php?id=uk236_e.JPG
to do usunięcia (ten z "nie odziedziczono").
Przejdź do gałęzi:
W kluczu:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
są dwa podklucze: Parameters oraz Security
Podklucz Parameters ma mieć identyczne uprawnienia jak BITS - jeśli są różnice - pokaz odpowiednie printscreeny.
Podklucz Security ma mieć uprawnienia:
Dla Administratorzy (....\Administratorzy):
Pełna kontrola - ptaszek tylko przy zezwalaj
Odczyt - ptaszek tylko przy zezwalaj
Uprawnienia specjalne - pole pod zezwalaj jest nieaktywne, pole pod odmów jest nieaktywne.
Uprawnienia dla SYSTEM - takie same jaj dla Administratorzy (....\Administratorzy)
Jeśli są różnice pokaż odpowiedni printscreen.
Dla podklucza Security pole zaawansowane ma wyglądać tak
Kod:
Zezwalaj     SYSTEM    Pełna kontrola        <nie odziedziczone>    Ten klucz i podklucze
Zezwalaj     Administratorzy\ (...\Administratorzy)    Pełna kontrola        <nie odziedziczone>    Ten klucz i podklucze
Jeśli jest inaczej pokaż odpowiedni printscreen.

Dla klucza:
HKLM\SYSTEM\ControlSet001\Services\BITS\Parameters
uprawnienia mają być takie same jak dla klucza:
HKLM\SYSTEM\ControlSet001\Services\BITS
Jeśli jest inaczej - pokaż odpowiedni printscreen.
Dla klucza:
HKLM\SYSTEM\ControlSet001\Services\BITS\Security
uprawnienia mają być identyczne jak dla klucza:
HKLM\SYSTEM\CurrentControlSet\Services\BITS\Security
Jeśli jest inaczej - pokaż odpowiedni printscreen

W kluczu:
HKLM\SYSTEM\ControlSet002\Services\BITS
na razie robisz poprawki, więc pokaż printscreeny z uprawnień dla Administratorzy i zaawansowane jak już je wprowadzisz.

Potem wyeksportuj w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
HKLM\SYSTEM\ControlSet001\Services\BITS
HKLM\SYSTEM\ControlSet002\Services\BITS

Plik:
c:\qoobox\quarantine\c\windows\system32\setup.ini
wrzuć na jakiś serwer i podaj linka.

Jeśli jakiś podkluczy będzie brakować (a może tak być) -nie twórz ich samodzielnie tylko napisz, których brakuje.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#44
RE: problem z rotkitem
Gałąź: HKLM\SYSTEM\ControlSet001\Services\BITS, prawoklik na BITS, uprawnienia, zaawansowane :
[Obrazek: mj2813_a.JPG]
W HKLM\SYSTEM\CurrentControlSet\Services\BITS
Podklucz Parameters ma identyczne uprawnienia jak BITS (mam tylko pyt: niektóre pola zarówno w uprawnieniach dla BITS jak i dla Parameters są tak jakby nieaktywne- szare tak ma być? Pytam ponieważ w Security zaznaczyłeś które pola mają być nieaktywne natomniast tutaj nic nie wpomniałeś).
W podkluczu Security wszystko się zgadza.
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#45
RE: problem z rotkitem
Cytat:Parameters są tak jakby nieaktywne- szare tak ma być? Pytam ponieważ w Security zaznaczyłeś które pola mają być nieaktywne natomniast tutaj nic nie wpomniałeś
Tak ma właśnie być. Wcześniej o tym nie wspomniałem, bo obrazki sie zgadzały.
Dla gałęzi:
HKLM\SYSTEM\ControlSet002\Services\BITS
uprawnienia zaawansowane mają być identyczne jak tu:
http://www.otofotki.pl/img7/pokaz.php?id=mj2813_a.JPG

Wyeksportuj w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
HKLM\SYSTEM\ControlSet001\Services\BITS
HKLM\SYSTEM\ControlSet002\Services\BITS

Plik:
c:\qoobox\quarantine\c\windows\system32\setup.ini
wrzuć na jakiś serwer i podaj linka.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#46
RE: problem z rotkitem
W HKLM\SYSTEM\ControlSet001\Services\BITS oba podklucze sprawdziłam i jest OK.
z klucza: HKLM\SYSTEM\ControlSet002\Services\BITS jeszcze daję te poprawki (printscreeny) o których wpomniałeś w przedostatniej wypowiedzi:
Administratorzy:[Obrazek: cy7216_b.JPG]
i zaawansowane: [Obrazek: yd3827_c.JPG]
I jeszcze mam pytanie odnośnie tych podfolderów: W gałęziach HKLM\SYSTEM\ControlSet001\Services\BITS i HKLM\SYSTEM\CurrentControlSet\Services\BITS obok podluczów Parameters i Security mam jeszcze jeden o nazwie "Enum"... Ma on tam być?
Wyeksportowane w formacie reg poniższe gałęzie:
HKLM\SYSTEM\CurrentControlSet\Services\BITS
http://wklej.org/id/83693/

HKLM\SYSTEM\ControlSet001\Services\BITS
http://wklej.org/id/83687/

HKLM\SYSTEM\ControlSet002\Services\BITS
http://wklej.org/id/83692/
link do Pliku: c:\qoobox\quarantine\c\windows\system32\setup.ini:

http://odsiebie.com/pokaz/2473542---aafa.html
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#47
RE: problem z rotkitem
Plikowi:
c:\qoobox\quarantine\c\windows\system32\setup.ini.vir
zmień nazwę na setup.ini
i przenieś go do katalogu:
c:\windows\system32

Start, uruchom, services.msc
ENTER
i próbuj uruchomić usługę:
Usługa inteligentnego transferu w tle.

Cytat:mam jeszcze jeden o nazwie "Enum"... Ma on tam być?
Niech zostanie.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#48
RE: problem z rotkitem
Zmieniłam nazwę, przeniosłam, Usługa inteligentnego transferu w tle jest już uruchomiona:

[Obrazek: lh3984_aaa.JPG]
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#49
RE: problem z rotkitem
Cytat:Usługa inteligentnego transferu w tle jest już uruchomiona
No wreszcie...Diabelek
To teraz tak:
start, uruchom, services.msc
Przy uruchomionej usłudze "Usługa inteligentnego transferu w tle" próbuj zastartowac usługę"
Aktualizacje automatyczne (jeśli jest wyłączona) - jeśli chodzi to OK.
Jeśli pojawią się błędy - napisz jakie.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#50
RE: problem z rotkitem
Jeszcze coś nie tak... "Usługa inteligentnego transferu w tle" jest uruchomiona ale przy próbie uruchomienia "Aktualizacje automatyczne " znów informacja o błędzie nr 5:
[Obrazek: jf8235_b.JPG]
 System operacyjny: windows_xp_2003 Przeglądarka: ie
Programy: Polecane / Nowe / Inne



Użytkownicy forum szukali:
antywirus wykryl rootkit

Podobne wątki (antywirus wykrył rootkita, podaję logi z Hjt i combofix)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Kaspersky niemoże usunąć rootkita Ymir6066 4 1160 03.06.2018, 16:48
Ostatni post: morderca
  Czy ten antywirus mi zadziała,jaki antywirus jest dobry - wątek główny II pepe0619 111 144179 06.05.2018, 21:35
Ostatni post: Illidan
  Eset antywirus - deinstalacja ramirez77 4 5018 11.03.2018, 21:18
Ostatni post: Michu_PL

Skocz do:


Wybrane wątki (antywirus wykrył rootkita, podaję logi z Hjt i combofix)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Problem ze startem win7, pada dysk? Lu85 1 4407 18.11.2017 05:07
Ostatni post: broda99
  Wirus znikąd Muerte 17 14160 15.11.2017 01:08
Ostatni post: Illidan
  Losowe przekierowywanie na strony różnego typu. RedStar 10 8560 12.11.2017 22:27
Ostatni post: RedStar
  Dziwne przekierowania Lexi 6 4338 11.11.2017 19:56
Ostatni post: Lexi
  Wirus router? wally92 9 4790 10.11.2017 17:51
Ostatni post: broda99
  Przekierowania na dziwne strony firefox corobic 7 6085 10.11.2017 15:27
Ostatni post: morderca
  Bsod kinky 3 4275 08.11.2017 19:34
Ostatni post: broda99
  Strona yahoo zamiast google pagodzik 5 4744 08.11.2017 11:31
Ostatni post: morderca
  Automatyczne włączanie się przeglądarki i tworzenie mnóstwo nowych kart Lukaskov 2 4266 08.11.2017 02:24
Ostatni post: Lukaskov
  Powolny komputer: bardzo długie uruchamianie systemu, powolne działanie aplikacji pagodzik 12 1907 07.11.2017 19:27
Ostatni post: pagodzik
  Trojan/adware Unstopacces.com/wpad.dat aqu32 4 4339 07.11.2017 10:27
Ostatni post: aqu32
  Ubezepieczenie serwisu? krantos 3 5467 07.11.2017 02:15
Ostatni post: krantos
  Losowe przekierowywanie na strony różnego typu. [wydzielone] pit1 0 4005 05.11.2017 17:40
Ostatni post: pit1
  Automatyczne przekierowywanie na różne stronki www pit1 4 4109 04.11.2017 20:17
Ostatni post: pit1
  Problem z plikiem Hex 3 4015 03.11.2017 16:33
Ostatni post: broda99